Home-›Foren-›Thunderbird-›TB und Viren – Bitdefender zeigt falsch an
- This topic has 33 Antworten, 4 Stimmen, and was last updated 23:23 um 19. November 2007 by vanda69.
- AutorBeitrag
- 6. September 2007 um 10:07 #42850LauxiParticipant
Hallo,
habe mit pop-Mails folgendes Problem:
Bitdefender 10 zeigt Viren an im Posteingang und Papierkorb.
Dort sind sie jedoch längst gelöscht!
Index neu erstellen half leider nichts.
TB Version 2.0.6.
BD darf die Mails vorab separieren (Einstellung TB für pop-Mails).
Wie bekomme ich das weg? Sind die Mails dann wirklich gelöscht oder zeigt Bitdefender falsch an? Eine Anfrage bei Bitdefender wird seit 9 Tagen trotz mehrfachen Nachfragens nicht beantwortet…
Danke für Eure Hilfe!!
6. September 2007 um 10:43 #149591vanda69ParticipantHallo
Hast du schon mal den Logeintrag bei Bitdefender gelöscht?Und bist du sicher das du keine Viren mehr hast?Würde an deiner Stelle mal dein System Online Scannen oder mit Hijackthis eine Logfile erstellen!Um welche Art von Virus handelt es sich?Graphics-and-School-of-Fantasy
http://www.graphics-and-school-of-fantasy.de/
6. September 2007 um 11:52 #149593LauxiParticipantDanke!
Das mit dem Logfile probiere ich aus, muss es aber erst finden bei BD. Da bin ich nicht drauf gekommen.
Welche Viren? Ich sehe nachher mir den PC an und melde mich nochmals.
Vorab mal Danke!!
6. September 2007 um 12:44 #149597vanda69ParticipantHallo
Solltest du ein Logfile mit Hijackthis machen und Probleme bei der Auswertung bekommen,stelle das Logfile hier rein!mfg chris
Graphics-and-School-of-Fantasy
http://www.graphics-and-school-of-fantasy.de/
6. September 2007 um 13:14 #149601LauxiParticipantAlso ich habe gerade einen PC genommen, auf dem IMAP Mails sind und keine pop3 Mails.
Auch dort das gleiche Problem. Auch hier werden E-Mail-Viren angezeigt, die nicht mehr vorhanden sind. Es war ein Trojaner (Download). Das Mail existiert aber nicht mehr. Weder im Posteingang noch im Mülleimer. Es wurde längst gelöscht, die Ordner Indexe neu erstellt. Bitdefender lief gerade über den User-Ordner drüber und hat diese Virenmails aktuell angezeigt.
Ich verzweifle noch…
Von diesem PC (IMAP-Mail-Viren) habe ich gerade eine Analyse gemacht (Interne Daten (Domain etc. habe ich mit GELÖSCHT versehen; sollte ich \”heisse\” Angaben übersehen haben zu löschen, bitte kurz mitteilen! – Danke!):
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 13:03:27, on 06.09.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
Boot mode: NormalRunning processes:
D:\\WINNT\\System32\\smss.exe
D:\\WINNT\\system32\\winlogon.exe
D:\\WINNT\\system32\\services.exe
D:\\WINNT\\system32\\lsass.exe
D:\\WINNT\\system32\\svchost.exe
D:\\WINNT\\system32\\spoolsv.exe
D:\\WINNT\\System32\\svchost.exe
D:\\WINNT\\system32\\hidserv.exe
D:\\WINNT\\system32\\regsvc.exe
D:\\WINNT\\system32\\MSTask.exe
D:\\WINNT\\System32\\WBEM\\WinMgmt.exe
D:\\Programme\\UltraVNC\\WinVNC.exe
D:\\WINNT\\system32\\svchost.exe
D:\\Programme\\Gemeinsame Dateien\\Softwin\\BitDefender Communicator\\xcommsvr.exe
D:\\WINNT\\System32\\svchost.exe
D:\\Programme\\Gemeinsame Dateien\\Softwin\\BitDefender Update Service\\livesrv.exe
D:\\WINNT\\Explorer.EXE
D:\\WINNT\\system32\\VTTimer.exe
D:\\Programme\\FreePDF_XP\\fpassist.exe
D:\\WINNT\\system32\\spool\\DRIVERS\\W32X86\\3\\fpdisp5a.exe
D:\\PROGRA~1\\Softwin\\BITDEF~1\\bdmcon.exe
D:\\Programme\\Softwin\\BitDefender10\\bdagent.exe
D:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe
D:\\Programme\\One Guy Coding\\Automachron\\achron.exe
D:\\Programme\\MSOffice\\Office\\WINWORD.EXE
D:\\Programme\\Mozilla Thunderbird\\thunderbird.exe
D:\\PROGRA~1\\MOZILL~1\\FIREFOX.EXE
D:\\Programme\\Gemeinsame Dateien\\Softwin\\BitDefender Scan Server\\bdss.exe
D:\\Programme\\Softwin\\BitDefender10\\vsserv.exe
D:\\Programme\\Softwin\\BitDefender10\\bdlite.exe
D:\\Dokumente und Einstellungen\\AA\\Desktop\\HiJackThis_v2.exeR0 – HKCU\\Software\\Microsoft\\Internet Explorer\\Main,Start Page = about:blank
R1 – HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings,ProxyServer = GELÖSCHT
R1 – HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Internet Settings,ProxyOverride = localhost, 127.0.0.1, .GELÖSCHT, GELÖSCHT;
O2 – BHO: Adobe PDF Reader – {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} – D:\\Programme\\Gemeinsame Dateien\\Adobe\\Acrobat\\ActiveX\\AcroIEHelper.dll
O2 – BHO: (no name) – {53707962-6F74-2D53-2644-206D7942484F} – D:\\PROGRA~1\\SPYBOT~1\\SDHelper.dll
O2 – BHO: SSVHelper Class – {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} – D:\\Programme\\Java\\jre1.6.0_02\\bin\\ssv.dll
O3 – Toolbar: @msdxmLC.dll,-1@1031,&Radio – {8E718888-423F-11D2-876E-00A0C9082467} – D:\\WINNT\\System32\\msdxm.ocx
O4 – HKLM\\..\\Run: [Synchronization Manager] mobsync.exe /logon
O4 – HKLM\\..\\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 – HKLM\\..\\Run: [nwiz] nwiz.exe /install
O4 – HKLM\\..\\Run: [VTTimer] VTTimer.exe
O4 – HKLM\\..\\Run: [FreePDF Assistant] D:\\Programme\\FreePDF_XP\\fpassist.exe
O4 – HKLM\\..\\Run: [FinePrint Dispatcher v5] \”D:\\WINNT\\system32\\spool\\DRIVERS\\W32X86\\3\\fpdisp5a.exe\” /source=HKLM
O4 – HKLM\\..\\Run: [Adobe Reader Speed Launcher] \”D:\\Programme\\Adobe\\Reader 8.0\\Reader\\Reader_sl.exe\”
O4 – HKLM\\..\\Run: [BDMCon] D:\\PROGRA~1\\Softwin\\BITDEF~1\\bdmcon.exe
O4 – HKLM\\..\\Run: [BDAgent] \”D:\\Programme\\Softwin\\BitDefender10\\bdagent.exe\”
O4 – HKLM\\..\\Run: [NeroFilterCheck] D:\\WINNT\\system32\\NeroCheck.exe
O4 – HKLM\\..\\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 – HKLM\\..\\Run: [WinVNC] \”D:\\Programme\\UltraVNC\\WinVNC.exe\” -servicehelper
O4 – HKCU\\..\\Run: [updateMgr] \”D:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe\” AcRdB7_0_8 -reboot 1
O4 – HKCU\\..\\Run: [ccleaner] \”D:\\Programme\\CCleaner\\ccleaner.exe\” /AUTO
O4 – HKCU\\..\\Run: [LDM] D:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe
O4 – HKUS\\.DEFAULT\\..\\Run: [internat.exe] internat.exe (User \’Default user\’)
O4 – HKUS\\.DEFAULT\\..\\Run: [Symantec NetDriver Warning] D:\\PROGRA~1\\SYMNET~1\\SNDWarn.exe (User \’Default user\’)
O4 – HKUS\\.DEFAULT\\..\\RunOnce: [^SetupICWDesktop] D:\\Programme\\Internet Explorer\\Connection Wizard\\icwconn1.exe /desktop (User \’Default user\’)
O4 – Startup: Automachron.lnk = D:\\Programme\\One Guy Coding\\Automachron\\achron.exe
O4 – Startup: Microsoft Word.lnk = D:\\Programme\\MSOffice\\Office\\WINWORD.EXE
O4 – Startup: Mozilla Thunderbird.lnk = D:\\Programme\\Mozilla Thunderbird\\thunderbird.exe
O4 – Global Startup: Logitech Desktop Messenger.lnk = D:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe
O9 – Extra button: (no name) – {08B0E5C0-4FCB-11CF-AAA5-00401C608501} – D:\\Programme\\Java\\jre1.6.0_02\\bin\\ssv.dll
O9 – Extra \’Tools\’ menuitem: Sun Java Konsole – {08B0E5C0-4FCB-11CF-AAA5-00401C608501} – D:\\Programme\\Java\\jre1.6.0_02\\bin\\ssv.dll
O9 – Extra button: Related – {c95fe080-8f5d-11d2-a20b-00aa003c157a} – D:\\WINNT\\web\\related.htm
O9 – Extra \’Tools\’ menuitem: Show &Related Links – {c95fe080-8f5d-11d2-a20b-00aa003c157a} – D:\\WINNT\\web\\related.htm
O16 – DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) – http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1185402215847
O17 – HKLM\\System\\CCS\\Services\\Tcpip\\Parameters: Domain = GELÖSCHT
O17 – HKLM\\System\\CCS\\Services\\Tcpip\\..\\{2E431CB4-A591-4796-ACEF-6241E4BDA75D}: Domain = GELÖSCHT
O17 – HKLM\\System\\CCS\\Services\\Tcpip\\..\\{2E431CB4-A591-4796-ACEF-6241E4BDA75D}: NameServer = 192.168.2.10,192.168.20.5
O17 – HKLM\\System\\CCS\\Services\\Tcpip\\..\\{30FEC34D-DD50-4E36-BB54-39A3AFC9179E}: Domain = GELÖSCHT
O17 – HKLM\\System\\CCS\\Services\\Tcpip\\..\\{30FEC34D-DD50-4E36-BB54-39A3AFC9179E}: NameServer = 192.168.2.10,192.168.2.5
O17 – HKLM\\System\\CCS\\Services\\Tcpip\\..\\{DE5DC188-9A40-4DEA-B13B-3B56C3147F08}: NameServer = 192.168.2.5,192.168.2.10
O17 – HKLM\\System\\CS1\\Services\\Tcpip\\Parameters: Domain = GELÖSCHT
O17 – HKLM\\System\\CS1\\Services\\Tcpip\\..\\{2E431CB4-A591-4796-ACEF-6241E4BDA75D}: Domain = GELÖSCHT
O17 – HKLM\\System\\CS1\\Services\\Tcpip\\..\\{2E431CB4-A591-4796-ACEF-6241E4BDA75D}: NameServer = 192.168.2.10,192.168.20.5
O17 – HKLM\\System\\CS2\\Services\\Tcpip\\Parameters: Domain = GELÖSCHT
O17 – HKLM\\System\\CS2\\Services\\Tcpip\\..\\{2E431CB4-A591-4796-ACEF-6241E4BDA75D}: Domain = GELÖSCHT
O17 – HKLM\\System\\CS2\\Services\\Tcpip\\..\\{2E431CB4-A591-4796-ACEF-6241E4BDA75D}: NameServer = GELÖSCHT
O18 – Protocol: bwfile-8876480 – {9462A756-7B47-47BC-8C80-C34B9B80B32B} – D:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\GAPlugProtocol-8876480.dll
O22 – SharedTaskScheduler: Browseui preloader – {438755C2-A8BA-11D1-B96B-00A0C90312E1} – D:\\WINNT\\System32\\browseui.dll
O22 – SharedTaskScheduler: Component Categories cache daemon – {8C7461EF-2B13-11d2-BE35-3078302C2030} – D:\\WINNT\\System32\\browseui.dll
O23 – Service: BitDefender Local Manager (BDLM) – Unknown owner – D:\\Programme\\Gemeinsame Dateien\\Softwin\\BitDefender Local Manager\\bdlm.exe (file missing)
O23 – Service: BitDefender Scan Server (bdss) – Unknown owner – D:\\Programme\\Gemeinsame Dateien\\Softwin\\BitDefender Scan Server\\bdss.exe
O23 – Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) – VERITAS Software Corp. – D:\\WINNT\\System32\\dmadmin.exe
O23 – Service: BitDefender Desktop Update Service (LIVESRV) – SOFTWIN S.R.L. – D:\\Programme\\Gemeinsame Dateien\\Softwin\\BitDefender Update Service\\livesrv.exe
O23 – Service: AOpen NVIDIA Driver Helper Service (NVSvc) – NVIDIA Corporation – D:\\WINNT\\System32\\nvsvc32.exe
O23 – Service: BitDefender Virus Shield (VSSERV) – SOFTWIN S.R.L. – D:\\Programme\\Softwin\\BitDefender10\\vsserv.exe
O23 – Service: VNC Server (winvnc) – UltraVNC – D:\\Programme\\UltraVNC\\WinVNC.exe
O23 – Service: BitDefender Communicator (XCOMM) – SOFTWIN S.R.L – D:\\Programme\\Gemeinsame Dateien\\Softwin\\BitDefender Communicator\\xcommsvr.exe—
End of file – 7682 bytes
6. September 2007 um 13:40 #149604vanda69ParticipantHallo
Was mir auffällt ist das du die C Einträge nicht angegeben hast!
Nun zum Logfile:
O17 – HKLM\\System\\CCS\\Services\\Tcpip\\Parameters: Domain = GELÖSCHT
O17 – HKLM\\System\\CCS\\Services\\Tcpip\\..\\{2E431CB4-A591-4796-ACEF-6241E4BDA75D}: Domain = GELÖSCHT
O17 – HKLM\\System\\CCS\\Services\\Tcpip\\..\\{30FEC34D-DD50-4E36-BB54-39A3AFC9179E}: Domain = GELÖSCHT
O17 – HKLM\\System\\CS1\\Services\\Tcpip\\Parameters: Domain = GELÖSCHT
O17 – HKLM\\System\\CS1\\Services\\Tcpip\\..\\{2E431CB4-A591-4796-ACEF-6241E4BDA75D}: Domain = GELÖSCHT
O17 – HKLM\\System\\CS2\\Services\\Tcpip\\Parameters: Domain = GELÖSCHT
O17 – HKLM\\System\\CS2\\Services\\Tcpip\\..\\{2E431CB4-A591-4796-ACEF-6241E4BDA75D}: Domain = GELÖSCHT
O17 – HKLM\\System\\CS2\\Services\\Tcpip\\..\\{2E431CB4-A591-4796-ACEF-6241E4BDA75D}: NameServer = GELÖSCHTSolltes du die nicht kennen,unbedingt fixen!!!Wie lautet die genaue Bezeichnung vom Trojaner?
So wie mir das aussieht solltest du dein Rechner neu aufsetzen!Stelle bitte das ganze Logfile noch mal rein!
Noch eins hast du mal Norton auf dein Rechner gehabt?
O4 – HKUS\\.DEFAULT\\..\\Run: [Symantec NetDriver Warning] D:\\PROGRA~1\\SYMNET~1\\SNDWarn.exe (User \’Default user\’)[Editiert am 27.08.2007 von vanda69]
Graphics-and-School-of-Fantasy
http://www.graphics-and-school-of-fantasy.de/
6. September 2007 um 13:48 #149605LauxiParticipantWas ist mit C Einträgen bitte gemeint? Was müßte ich bitte fixen? Sorry, ich steh grad auf der Leitung.
Der PC wird voraussichtlich in den nächsten Wochen zufälligerweise eh neu aufgesetzt.
Sind aber mehrere PCs von diesem seltsamen Verhalten vorhanden. Einer mit pop3, wurde von mir kürzlich neu installiert mit BD 10 Antivirus, und mehrere mit IMAP und BD10IS.
Das GELÖSCHT habe ich geschrieben: Interne Daten damit überschrieben 😉
Lt. Hijackthis war nichts ungewöhnliches dabei. Aber sicher bin ich mir auch nicht.
Aber eigentlich auch nicht möglich, weil TB ja diese Dateien sofort sperrt. Auch wurden diese Mails nie geöffnet bzw. die Anhänge gestartet. Leider hat die Hardwarefirewall die Virenmails nicht gleich geblockt – weil IMAP.
Wg. Norton: ich denke nicht, habe aber die PCs erst vor ca. einem Jahr \”übernommen\”; könnte also sein, dass das mal drauf war.
[Editiert am 6/9/2007 von Lauxi]
6. September 2007 um 13:59 #149608vanda69ParticipantHallo
Achso,habe mich schon gewundert über das Gelöscht!
Habe mir das Logfile nun genau mal angeschaut und ich brauche wirklich langsam eine Brille!Ihr benutzt ja NT als BS!Also ein Trojaner wird nicht von einer Firewall geblockt dazu ist dein Virenscanner zuständig!Wenn aber alle solches Verhalten zeigen,würde ich mal ein Online Scann machen!Benutzt ihr alle Bitdefender?
mfg chrisGraphics-and-School-of-Fantasy
http://www.graphics-and-school-of-fantasy.de/
6. September 2007 um 14:05 #149610LauxiParticipantNull Problemo 😀
Sind ja auch viele Daten 🙂
Ja, bei allen Clients ist BD10 IS naglneu drauf, vorher BD8 Pro.
Hardwarefirewall ist mit Antivirenschutz, E-Mailschutz etc. vollständig ausgestattet, aber nützt bei IMAP nix. Wird sich aber mit einer Neueinrichtung eines Mailservers auch mal noch ändern… Dauert noch etwas.
Online-Scan: wo? Bei Bitdefender selber? Kaspersky?
Mich ärgert maßlos, dass sich BD nicht mehr meldet. Habe schon 3 mal reklamiert wegen Antwort.
Ist das ein BD oder ein TB-Problem? Bin mir da nicht so sicher.
Außerdem soll man ja den Profilordner eigentlich bei IMAP-Mails bei TB nicht scannen. Das ganze fiel nur auf, weil versehentlich ein Scan durchlief, OBWOHL IN DEN EINSTELLUNGEN DER PFAD PROFILE AUSGENOMMEN WAR!
Auch darüber ärgere ich mich sehr bei Bitdefender! Aber OK, so fiel es wenigstens mal auf, aber ich schaffe es nicht das Problem zu lösen ;(
6. September 2007 um 14:11 #149612vanda69ParticipantHallo
Ich würde Kaspersky nehmen oder Panda!Habe mal nachgeschaut nach den Trojaner ist schon ein wenig älter!
mfg chris
Graphics-and-School-of-Fantasy
http://www.graphics-and-school-of-fantasy.de/
6. September 2007 um 14:18 #149613vanda69ParticipantKannst du noch mal schreiben wie der Trojaner heißt Trojaner Download?z.b. W32.Small.BXP
oder heißt er Troj/Download-A
http://www.sophos.de/virusinfo/analyses/trojdownloada.html
[Editiert am 27.08.2007 von vanda69]
Graphics-and-School-of-Fantasy
http://www.graphics-and-school-of-fantasy.de/
6. September 2007 um 14:42 #149617LauxiParticipantDanke!!!
Ich schau nachher gleich nochmals nach, im Moment wird an dem PC noch gearbeitet, sonst kriege ich User-Haue 😉
Wenn irgend möglich, poste ich heute Abend wie die Viren genau heißen. Zumindest mal bei dem IMAP-PC.
Auf den Strato kann ich derzeit net zugreifen. Reiche ich auch nach!
Ich lasse dann auch mal das online-prüfen laufen.
Muss ich keinen Datenverlust bei TB befürchten, wenn das Profil-Verzeichnis geprüft wird? Angeblich sei das doch bei TB so… :question:
Herzlichen Dank mal vorab!!
6. September 2007 um 14:49 #149623vanda69ParticipantUps,jetzt hast du mich aber auf den falschen Fuß erwischt,das mit TB weiß ich nicht !Benutze es nicht!Sorry!
mfg chris
Graphics-and-School-of-Fantasy
http://www.graphics-and-school-of-fantasy.de/
6. September 2007 um 15:05 #149625LauxiParticipantIch bin mir selber nicht sicher.
Habe es schön öfters gehört und empfohlen bekommen.
Aber genau da sind die gelöschten Virenmails zu finden…
Mir ein Rätsel…
Was tun???
6. September 2007 um 15:46 #149627vanda69ParticipantIch kann mir nicht Vorstellen das bei ein Online Scann ein Datenverlust passiert!Würde mir neu sein!Vielleicht kommt noch die Antwort von ein der TB besser kennt!
mfg chris
Graphics-and-School-of-Fantasy
http://www.graphics-and-school-of-fantasy.de/
- AutorBeitrag